https 被攻破了？这也太耸人听闻了，谁给看看，感觉是瞎扯

满满的广告
文章发布人：智能抓取

只是劫持了 https 链接而已

我之前写过一篇《三种解密 HTTPS 流量的方法介绍》。
https://imququ.com/post/how-to-decrypt-https.html

我在文章最后写到：如果浏览器被安装恶意扩展，即使访问安全的 HTTPS 网站，提交的数据一样可以被截获。这种客户端被攻击者控制引发的安全问题，无法通过 HTTPS 来解决。

这里描述的就是这种情况，病毒入侵到浏览器端，当然是想干嘛就干嘛。

有机器控制权，怎么都能破， HTTPS 插一个 ca 就好了

有什么耸人听闻的

确实耸人听闻，让人感觉是 https 的协议被公破一样。其实相当于木马而已，能控制机器什么样的加密都无济于事。

标题党+瞎扯。都入侵到机器里装驱动了，还有什么不能干的？而且截图里浏览器的 https 还是红的，这如果不是自己点的忽略和继续的话，那浏览器也该扔了。

只要不是被中间人攻破就没什么大问题，客户端的安全，得靠用户自己去把握。

被人物理接触机器，乃至只是木马操作，和主动告诉别人也都没什么区别了吧。

HPKP 用户表示不懂你们在谈论什么

@ahhui 重点不是入侵，是流氓软件吧。。。

如果 HTTPS 配置没有漏洞，真能攻破的话，可以发 n 篇顶级论文。
下次再看到类似新闻，想下上面这句，就知道咋回事了。

大米饭可以安全食用啦啦啦啦！！！！！！！！！！！！

如果控制了你的饭碗，往里面投毒，会不会死？剂量够的话会的。

大米饭不安全啦！！！！！！！！

这类问题看着就无语。送你四个字,HSTS ，问题全解决，保证无劫持。

都懒得点进去看也知道写的啥。

想说的是，以前做木马做病毒的，现在学乖了，现在做正规产品了，产品里附加上以前的木马病毒功能，搬到台面上来搜集你信息，控制你浏览的信息。

数学上来讲，目前 HTTPS 本身还是完全安全的。
不安全风险是与 HTTPS 本身无关的，比如中间人攻击。

前几天我爸不知道安装了什么软件，加了个根证书进去，把百度给劫持了，可惜是 SHA-1 证书，被打叉了……